讓想入侵者知道風險高而放棄入侵這是屬於4d防護管理的哪一種

觀點

在開始之前，筆者先帶各位讀者回到古時候的場景。
古代防護有一套
在古代，為了抵禦外侮，有錢的領主都會想辦法建立城堡。城堡有高大的城牆，牆上面有兵士巡邏。有些還在城牆上建有敵樓，用來觀測遠方敵情。一些更重要的軍事堡壘或是交通要衝之地，在附近山脊或是前線重要隘口會設置瞭望塔或是烽火臺，用來做前進觀測敵情以及聯絡之用。城牆外，有些會挖護城河，用來防止地道攻擊，也避免近距離的攀城攻擊。如果現況不許可，可能是沒錢、地勢限制或者是附近沒有足夠水源，通常替代的方法就是在城牆外會有一片開闊之地。有些重要的城池還會有內外城牆之分。
城堡對外的出入就是經過長長的城門。城門通常有好幾個，在中國的習俗中，每一個城門的預定用途都不一樣，所以守城官兵對當地活動很容易觀測。城門除了厚重的大門外，有些還在裡面設機關，前後端可能會加上急降式柵門，用意是來困住入侵者。城門依時開啟和關閉，城門官兵必要時會檢驗證件。超過開放時間若要緊急開啟，要有守城將軍的親令。當然，若是持有特別通關「金牌」，就不一樣了。
一般而言，在通過城門前會有一告示牌，除了是一些治安公告之外，並要求行旅人士下馬通過城門。城門通道前會有一絆馬索，若是有人「飆馬」入城門，準叫他跌個四腳朝天。城牆外草叢裡，入夜之後會拉起一線線的串鈴，若是有人潛行想要靠近城牆，不小心就會碰到發出鈴聲，而驚動了守城官兵。城牆內，入夜會有巡夜人，除了看有沒有宵小祟動，也兼報時和安全警覺意識的宣導，他們的標準用語是：「緊閉門戶，提防宵小！」、「天乾物燥，小心火燭！」。
以上就是古早以前的實體安全防護體系。看上去是超級古意，像在看三國演義或是武俠小說，不過當時的這套安全體系可是要高度的文明、科技和管理才能做的到的。經過了時間的推移，其實我們現在的實體安全和資訊安全所用的方法原則，和當時也沒有太大的差別，唯一有變的就是使用的科技不同罷了。 運用安全四階

在安全體系設計中，有一個非常重要的概念應用，那就是安全四階（Security 4D''s）。分別為：嚇阻(Deter)、偵測(Detect)、阻延(Delay)、禁制(Deny)四階段。這基本邏輯同時適用於實體安全和資訊安全管理系統上。
不過在正式談Security 4''D之前，我們必須先稍微提一下風險評估的步驟：一般而言，安全專家們會對保護目標進行瞭解並分類（選定標的物），依目標可能會遭受的威脅加以辨識（辨識威脅），並分析目前目標物己身所暴露在威脅時之弱點，和目標物的緊要性來評估其風險等級（評估風險等級），以決定相對應的保護作為（決定保護措施）。
為了有效的運用有限資源，及達成實用效果，並且參照現地的限制（如地形、地物、活動狀況，甚至是企業文化），以決定恰當的步驟。對於這些安全專家們，最常用的方式，同時也證明比較有效的，就是建立所謂的「安全防禦縱深」(Security in Depth)。
安全防禦縱深的主要目的是增加預警時間、延遲入侵、使我方反制能力能有效施展運用。而我們建立安全防禦縱深的邏輯方式就是利用Security 4D''s，由外而內的建立。
一、 嚇阻(Deter)：
嚇阻的目的是讓入侵者在面對目標時，會因為風險或代價太大而心生畏懼，因而打消入侵行為。
在前面的故事中就是城內的安全維護體系、治安告示牌、高聳的城牆、守城士兵等等。在現代生活中，最常見的就是法律罰則的規定，標的物的保護嚴密，警告標誌、警衛（察）巡邏、CCTV攝影等使入侵行動不易進行等都是。簡單的還有，在進行辦公區或是社區等的防竊勤務時，大門警衛或是巡邏人員對陌生人的眼對眼接觸，對入侵者是很大的心理嚇阻。
至於在資訊世界中，因為不是實體，我們無法真正的看到入侵者，但是因網路世界具有匿名性，因此歹徒覺得可以恣意妄為，不會被發現。所以法律規範就變得很重要。因為資訊對於現代社會極為重要，一些電腦安全事件對社會的影響極大，現在世界各地，政府對資訊犯罪都開始採取嚴格的刑罰，希望能遏阻資訊犯罪的歪風。
企業中進行安全警覺意識宣導計畫是達成嚇阻很重要的一個方法。讓員工們都知道入侵是不對的，而且有罰則；當知道安全對大家的重要性，他們也會成為公司的「巡夜人」；而有入侵意圖的人（內部或是外部人員）則會因而投鼠忌器，怕被發現，而不敢輕舉妄動。
二、 偵測(Detect)：
偵測的目的是當入侵發生時，能夠及時發現。
以前面的故事為例，就是城外的前進觀測所、城牆上的守城士兵、敵樓、城外藏在草地上一線線的串鈴和夜巡人。而在我們的生活中所看到的就是警衛（察）巡邏、CCTV攝影和警報系統（如：紅外線、影像動態偵測、磁簧開關、超音波）等。
而在資訊世界中，則有入侵偵測系統(IDS)和病毒軟體等。至於定期於事後看日誌，也是一種安全機制，不過那不是預防行為，而算是安全補強行為。若是讓大家知道系統管理者或是安全單位會定期審閱日誌，對不當存取加以追查，且有相關罰則，此動作則具有「嚇阻」功能。
三、 阻延(Delay)：
阻延的目的是使入侵行為困難，必須使用工具，耗費更多的時間和精力，以增加其被發現的機會。
以前面的故事為例，高聳的城牆就具有阻延攀越的功能，絆馬索則可以迫使入侵者降低速度。在我們日常生活中所用的鑰匙和鎖，甚至是保險櫃的鎖實際上都是一個阻延器具。例如保險櫃的規格中有一個是TL-30，它的意義是用一般工具(tool)花30分鐘可以打開。記住，只要有足夠的時間，這世界上沒有不能打開的鎖。
在資訊系統中最常見的阻延設置就是帳戶密碼的設置。理論上是越複雜越好，六個字元以上無意義的英數交雜再加上特殊符號，而且還定時強制更換最好。但是切記不要複雜到讓人記不起來，最後寫在鍵盤後面或甚至是貼在螢幕上，那可是一點效果都沒有。另外，加密機制也是一種阻延手段。
四、 禁制(Deny)：
禁制的目的就是阻止入侵行為。
以前面的故事為例，堅實的城牆和城門、深廣的護城河和強大的守城兵力，就是古時候主要施行禁制功能的憑藉。在現代生活中，其實還是沒有太大的變化，我們靠的還是堅實的牆壁、大門、防盜窗（一般的鐵窗其實只算是阻延工具）、和有能力的警衛和警察。
在資訊系統中，防火牆(firewall)、路由器(router)等在一定程度條件下算是禁制工具。而當發生網路攻擊時，有一種最簡單但是應該算是治標不治本的最後手段就是拔掉網路線。
禁制是整個安全體系的最後一道防線，事實上也是最不容易做好的一部份。在企業安全上主要強調的是預防動作，若是入侵行動能夠一直攻到這裡，損害幾乎是不可避免。所以一旦發現，當下果斷的施以立即強力的反制措施是非常重要的。而當損害發生，接下來的動作就是緊急應變的範疇。《資安人》第三期中在另外一篇論SARS的文章中，筆者已經有稍微和讀者聊一下這個題目，有興趣者可以參考一下。
Security 4D''s是一種思考邏輯順序，其最重要意義是在建立防禦縱深，將保護目標置於中心安全部位。
對我們安全專業人員而言，讓入侵事件無法發生，或在發生初期就被化解，則是整個安全體系建立、維護和努力的目標。

1(A).

1 下列哪些為應用於資料庫的加密方式？（1）DBMS 組態加密、（2）資料 庫加密、（3）資料庫檔案加密、（4）網路傳輸加密。
(A)1234
(B)124
(C)12
(D)234

2(D).

X

2 一般採用的約定方式中，列出雙方將要一起達成的協定，稱為？
(A)服務等級協議
(B)保密協定
(C)備忘錄或協議章程
(D)合約

3(A).

X

3 關於資訊安全管理標準，下列何者正確？
(A)美國標準協會為國際標準制定機構之一
(B)ISO 27002 為國際標準
(C)BS 7799 分為 BS 7799‐1 ~ BS 7799‐5 五個部分
(D)ISO 17799：2005 包含 110 個控制措施章節

4(B).

X

4 下列哪一個資訊安全問題的發生，與 Web 應用中的安全漏洞比較有關？
(A)公司機密外洩
(B)客戶資料外洩
(C)XSS（Cross‐site scripting）
(D)成為跳板

5(B).

5 關於資料庫管理的敘述，下列何者有誤？
(A)應用程式透過 DBMS 與資料庫進行查詢
(B)帳戶只要設定 sa 就好，方便管控
(C)對於不需變更資料的顯示，以 View 來查詢
(D)使用者密碼不可以太過簡單

6(A,B,C,D).

X

6 下列哪些屬於資訊安全管理循環中，在「檢查」階段進行的工作？(複選)
(A)風險評鑑
(B)業務永續運作計畫演練
(C)建立安全事件管理程序
(D)資安內部稽核計畫

7(A).

7 在擁有原有加密金鑰的文件下，下列關於加密敘述何者為真？
(A)Triple DES 機制可以解密出 DES 機制所加密的資料
(B)DES 機制可以解密出 Triple DES 機制所加密的資料
(C)AES 機制可以解密出 DES 機制所加密的資料
(D)AES 機制可以解密出 Triple DES 機制所加密的資料

8(A,C).

X

8 就資訊安全而言，下列敘述哪些有誤？(複選)
(A)ISMS 是資訊安全管理系統的縮寫
(B)ISMS 是一種最佳化實務系統，企業應該直接套用並進行企業流程再 造
(C)ISMS 目的是保護資訊資產
(D)已採用 ISO 14001 之組織不適用 ISO 27001

9(A).

9 在電子商務中，下列敘述何者有誤？
(A)OTP 是不安全的認證方法，不宜用在電子交易上
(B)認證是跟別人證明我是誰
(C)基於所有也是認證的方式之一
(D)雙因素認證可以降低電子商務的風險

10(A,B).

X

10 下列哪些是保護線上付款的技術？(複選)
(A)VISA 3D 認證服務
(B)SSL
(C)SET
(D)Master 4D 認證服務

11(A).

X

11 遇到電子商務的標錯價糾紛時，下列哪一項規範是處理這類事件的主要依 據？
(A)個人資訊保護法
(B)零售業等網路交易定型化契約應記載及不得記載事項
(C)電子商務標價
(D)電子簽章法

12(A,C).

X

12 資料庫管理作業中，受保護內容的傳輸可以採取哪幾種方式？(複選)
(A)在安全的連線中傳輸
(B)將資料保護後送出
(C)在公開的環境中直接傳送
(D)不要傳送

13( ).

X

13 下列對於資訊安全管理系統之描述，哪些為真？(複選)
(A)資訊安全管理系統是運用系統方法，對組織內敏感資產進行管理的 系統
(B)資訊安全管理系統涉及到人員、程序和資訊技術（Information Technology, IT）
(C)資訊安全管理系統由於涉及較多的專業領域，故應設置於組織整體 管理系統以外獨立運作
(D)資訊安全管理系統是以營運風險導向（作法）為基礎，用以建立、 實作、運作、監視、審查、維持與改進資訊安全

14( ).

X

14 下列何者是資訊安全管理系統驗證的國際標準？
(A)ISO 9001
(B)ISO 20000
(C)ISO 27001
(D)ISO 10014

15( ).

X

15 下列對於資訊安全政策的描述，哪些為宜？(複選)
(A)資安政策是組織建置資安管理制度不可或缺的重要元素
(B)資安政策是管理階層依照組織營運要求、相關法律、法規與客戶合 約要求等制定的
(C)資訊安全政策應詳細描述施行的細節，以提供給各單位施行的最佳 實例
(D)資安政策文件應陳述管理階層的承諾並由管理階層核准

16( ).

X

16 下列宣導資訊安全政策的方式，何者較不適宜？
(A)公司內張貼公告
(B)以電子郵件傳遞給所有內部人員通知
(C)對外發佈新聞稿公告
(D)在管理會議中宣達

17( ).

X

17 下列哪些是宣導資訊安全政策宜注意的事項？(複選)
(A)宣導資訊安全政策的重點，使相關人員能夠意識其資安責任
(B)避免流於形式，而應著重效果
(C)資安政策的宣導只限於內部人員，外部團體或與第三方使用者較不 需要特別注意
(D)在訪客會客櫃台處公告相關資安政策及要求，並由接待人員提醒訪 客遵守不失為一個宣導辦法

18( ).

X

18 下列對於保密協議的描述，哪些為宜？(複選)
(A)簽署機密性或保密協議包括員工、委外廠商或第三方
(B)應不定期審查協議要求之內容是否已反映組織對資訊保護之需求
(C)保密協議的內容應考量範圍、期限、終止條件、責任與法令遵循等
(D)保密協議中應注意應使用具有法定強制效力之用語，來闡明保護機 密資訊的要求

19( ).

X

19 下列哪些為電子商務種類之常用代號？(複選)
(A)E2C（企業對個人）
(B)B2B （企業對企業）
(C)E2E（企業對企業）
(D)B2C（企業對個人）

20( ).

X

20 資訊安全管理之 PDCA 管理架構之『Do（執行）』工作內容為下列何者？
(A)目標預測與訂定
(B)評定與評估、作業管制與稽核
(C)激勵、命令與實施
(D)改善對策訂定、改善行動執行

21( ).

X

21 有關資訊安全的敘述，哪些是正確的？(複選)
(A)隱密性是確保訊息內容不會被未經授權的第三者知道
(B)完整性是確保內容不會被變更
(C)對可用性而言，DoS 是最典型的攻擊之一
(D)只要有安裝防毒軟體，就不會發生資安的問題

22( ).

X

22 系統、服務或網路發生一個已識別的狀態，其指示可能的資訊安全政策違 例或保護措施失效，或是可能與安全相關而先前未知的狀況等。前述定義 稱之為何？
(A)風險評鑑
(B)風險管理
(C)資訊安全事件
(D)資訊安全事故

23( ).

X

23 下列何者不屬於資訊安全管理循環中，在「執行」階段進行的工作？
(A)資訊資產分類與管制
(B)風險評鑑
(C)風險管理與產出適用性聲明
(D)業務永續運作計畫演練

24( ).

X

24 不斷複製自己，經網路四處傳播，癱瘓系統與網路的惡意程式為下列何 者？
(A)後門程式（Trapdoor）
(B)木馬程式（Trojan horse）
(C)邏輯炸彈（Logic bomb）
(D)蠕蟲程式（Worms）

25( ).

X

25 下列何者不屬於保護帳號、通行碼（password）安全的措施？
(A)不點選不明人士傳送的網址
(B)不買賣租借會員帳號
(C)不以相同帳號、通行碼註冊其他網站
(D)為避免忘記帳號須以紙本記錄下通行碼

26( ).

X

26 通常是藉由人性的弱點來達成目的，攻擊者會誘使使用者洩漏帳號、通行 碼（password）等資訊。前述攻擊屬於何種攻擊？
(A)社交工程（Social Engineering）攻擊
(B)阻斷服務（Denial‐of‐Service）攻擊
(C)中間人（Man‐in‐the‐middle）攻擊
(D)監聽（Eavesdropping）攻擊

27( ).

X

27 下列何者選項中的裝置皆屬於網路安全裝置？
(A)防火牆、IPS、VPN
(B)IPS、ATM
(C)防火牆、POS
(D)弱點掃瞄閘道、POS

28( ).

X

28 組織礙於資源因素而無法全面實施 ISMS 時，應從下列何項先開始？
(A)最核心的業務流程
(B)最簡易的業務流程
(C)最複雜的業務流程
(D)易變動的業務流程

29( ).

X

29 下列敘述何者有誤？
(A)資訊安全可保護資訊不受各種威脅，確保持續營運，將營運損失降 到最低，得到最豐厚的投資報酬率和商機
(B)資訊對組織而言就是一種資產，和其它重要的營運資產一樣有價 值，因此需要持續給予妥善保護
(C)組織對於資訊資產的管理應該賦予與一般資產相同的重視，因此應 以管理一般資產的方式來管理資訊資產
(D)資訊是組織的重要資產，與其他重要的營運資產一樣對組織具有價 值

30( ).

X

30 工程師建構三層式的電子商務系統，優點為何？
(A)資料庫置於前端，提升性能
(B)減輕伺服器端電腦的負擔
(C)特殊架構，通常使用兩層式架構
(D)比兩層式架構複雜，管理不易

31( ).

X

31 資訊安全管理要素中的完整性（integrity）是指下列何者？
(A)資訊系統的軟體與硬體皆完好運作
(B)資訊系統對資訊的處理皆按照正確的步驟與適當的授權進行
(C)所有的資料儲存都能夠有安全的防護措施
(D)資訊系統所處理的資料不是部分的片面資料

32( ).

X

32 下列哪些是組織識別其各項安全要求之要項？(複選)
(A)支援營運活動
(B)法律、法令、規章及合約要求
(C)資訊安全風險評鑑
(D)資訊公開與透明化

33( ).

X

33 使用非對稱加密機制來秘密傳送訊息給對方，應該如何進行？
(A)使用自己的私鑰加密傳送
(B)使用自己的公鑰加密傳送
(C)使用對方的私鑰加密傳送
(D)使用對方的公鑰加密傳送

34( ).

X

34 確保資料的完整性與私密性，並預防非法入侵者的破壞，是屬於下列哪一 項？
(A)實體安全
(B)資料安全
(C)程式安全
(D)系統安全

35( ).

X

35 下列哪一項不屬於資訊安全管理的範疇？
(A)系統安全管理
(B)人員安全管理
(C)綠色環保管理
(D)網路安全管理

36( ).

X

36 根據世界經濟合作開發組織（Organization for Economic Corporation and Development, OECD）在 2001 年會議中對資訊安全目標的描述為「確保 仰賴資訊系統上的各種利益，避免傷害而導致機密性（Confidentiality）、 真確性或完整性（Integrity）及下列哪一項的失能」？
(A)儲存性（Storage）
(B)環保性（Environmental）
(C)隱密性（Privacy）
(D)可用性（Availability）

37( ).

X

37 Java Card 是一種標準的智慧卡片，智慧卡片在當今網路安全應用最重要 的三個特點有哪些？(複選)
(A)確認性
(B)便利性
(C)儲存性
(D)保密性

38( ).

X

38 電子商務交易環境中，在「不可否認性」的安全需求上，其安全目的要做 到確認交易的真實性，在安全機制方面應做到何種程度？
(A)數位簽章演算法
(B)訊息驗證碼
(C)密碼驗證
(D)資料加密演算法

39( ).

X

39 電子文件保護機制除了須滿足機密性、完整性、鑑別性、不可否認性等資 訊安全目標外，尚須兼顧下列哪些具實務應用的需求？(複選)
(A)開放性
(B)長期性
(C)法律性
(D)永續性

40( ).

X

40 目前資料庫管理系統對於安全機制都提供完善的保障，而有效地提供使用 者登入控管機制是屬於哪一方面的安全考量？
(A)資料備份
(B)使用者權限
(C)密碼設定
(D)人員訓練

41( ).

X

41 因應實務的需求，資訊安全管理系統（ISMS）顯得其重要性，請問下列哪 一項不屬於 ISMS 的步驟範圍？
(A)系統安全管理
(B)人員安全管理
(C)綠色環保管理
(D)網路安全管理

42( ).

X

42 在資訊安全管理循環裡，下列哪一項內容是依據管理階層之審查結果採取 矯正與預防措施，以達成持續改進 ISMS？
(A)規劃（Plan）
(B)持續改善（Act）
(C)查核（Check）
(D)執行（Do）

43( ).

X

43 下列何者不屬於資訊安全管理相關之標準與規範？
(A)NIST SP 800 系列
(B)CNS 27001
(C)ISO 27799
(D)CNS 7797

44( ).

X

44 企業組織從事營運的相關活動，應考量符合適法性的要求，此要求之來源 涵蓋法律、標準、法令、法規、合約等，上述要求較適合之名稱為何？
(A)遵循性（compliance）
(B)依據（accordance）
(C)採納（adoption）
(D)同意（consent）

45( ).

X

45 在網路上的虛擬世界中，可以使用數位憑證來識別與驗證對方的身分，其 作用類似於真實生活中的身分證，而一般常用的數位憑證採用之標準為 X.509 第三版（也稱為 X.509 v3），如：自然人憑證、工商憑證等，請問 X.509 v3 憑證的欄位包含下列哪些？(複選)
(A)地址（Address）
(B)生日（Birthday）
(C)發行者名稱（Issuer）
(D)版本（Version）

46( ).

X

46 稽核由稽核組織的來源進行區分，可將稽核活動分為三類：第一方稽核、 第二方稽核與第三方稽核，請問下列何者為第三方稽核？
(A)內部稽核
(B)主管機關以督導及管理的角度執行稽核活動
(C)對供應商或外包商進行的稽核活動
(D)由企業組織外部的驗證公司執行稽核活動

47( ).

X

47 某系統一年當機 20 小時，請問此系統之可用性位於下列何者區間？
(A)0.98 ~ 0.99
(B)0.99 ~ 0.999
(C)0.999 ~ 0.9999
(D)0.9999 ~ 0.99999

48( ).

X

48 資料庫之加密包含下列哪些層面？(複選)
(A)DBMS 組態設定加密
(B)網路傳輸加密
(C)資料庫檔案加密
(D)隨機存取記憶體（RAM）加密

49( ).

X

49 依電子商務之特性，其資訊安全之目標除機密性、完整性及可用性外，還 必須特別考慮下列哪些資訊安全目標？(複選)
(A)身分鑑別
(B)個人隱私
(C)偏好性
(D)不可否認性

50( ).

X

50 下列何項措施不會增進資料庫之安全？
(A)善加使用視表（view）
(B)遵循 ACID 原則
(C)移除不需要的帳號
(D)不修改 DBMS 的預設網路埠

51( ).

X

51 下列何者不是處理資訊安全風險的作法？
(A)接受風險
(B)逃避風險
(C)轉移風險
(D)降低風險

52( ).

X

52 下列哪些是資訊安全風險分析的工具？(複選)
(A)蒙地卡羅模擬法
(B)專家調查法
(C)擲骰子
(D)歷史模擬法

53( ).

X

53 資訊安全風險評估表格不會包含以下哪一項內容？
(A)資產
(B)擁有者
(C)CIA 影響程度
(D)CAN 影響程度

54( ).

X

54 資訊安全風險處理的考量包含下列哪些項目？(複選)
(A)風險接受準則
(B)法律
(C)契約
(D)選擇讓資產無風險的處理方式

55( ).

X

55 適用性聲明書不包含下列哪一個項目？
(A)控制措施
(B)排除之控制措施及理由
(C)控制措施交叉核對表
(D)風險處理計畫

56( ).

X

56 下列哪些是資產可能的威脅來源？(複選)
(A)設備
(B)人為
(C)天然災害
(D)軟體瑕疵

57( ).

X

57 下列對於威脅的描述哪些是正確的？(複選)
(A)威脅之來源可能是人為的威脅也可能是環境所造成的威脅
(B)威脅的大小頻率在每次風險評鑑時以直覺評定即可，不需要適當記 錄與統計
(C)尚未有可參考的數據資料時，可以參考國內外調查機構所統計的數 值
(D)當無法量化時，可以採用定性的衡量方式

58( ).

X

58 下列對於風險評鑑時鑑別資產價值的描述，何者有誤？
(A)可將機密性、完整性與可用性一起納入考量
(B)有些資產可能只具備機密性、完整性與可用性其中一項或兩項性質
(C)資產價值高低的評鑑應該以採購金額的多寡為唯一的評判依據
(D)當無法量化或量化工作成本過高時，可採用定性法衡量

59( ).

X

59 下列對於風險評鑑時，決定可接受風險等級的描述，何者為非？
(A)組織可接受風險等級的高低，反應組織對風險的態度
(B)當組織可接受風險等級越高時，表示組織願意承擔較高的風險，並 預期獲得較低的報酬
(C)當組織可接受風險等級越低時，則不希望冒高風險
(D)組織對於可接受風險等級高低的決定，可能隱含著組織文化的考慮

60( ).

X

60 下列何者屬於環境的威脅？
(A)惡意程式
(B)火災與水災
(C)未經授權的存取
(D)意外的刪除

61( ).

X

61 機房設置所在位置，下列何者較為適宜？
(A)易受水災威脅的地點，應避免設置機房
(B)雖為易受水災威脅的地點，但可加強圍牆高度，即能防止水災侵襲
(C)雖為易受水災威脅的地點，隨時注意颱風與大雨消息，即能免除水 災威脅
(D)雖為易受水災威脅的地點，加強排水措施，即能免除水災威脅

62( ).

X

62 風險評鑑的整體對象包含範圍為何？
(A)人員
(B)資產
(C)環境
(D)硬體設備

63( ).

X

63 考慮購買適當的保險，作為整體營運持續流程的一部分，亦作為風險管理 策略，稱為下列何者？
(A)轉移風險策略
(B)降低風險策略
(C)接受風險策略
(D)避免風險策略

64( ).

X

64 下列對於資安事件之描述何者正確？
(A)資安事件的原因，大部份是專業技術層面
(B)約有 50% 的資安事件是由人為疏忽所造成
(C)資安攻擊事件 80% 來自組織外部
(D)約有 60% 的資安事件是因離職員工故意所造成

65( ).

X

65 SQL Injection 攻擊包括下列哪些手法？(複選)
(A)入侵登入畫面
(B)植入帳號
(C)刪除資料表
(D)植入木馬程式

66( ).

X

66 下列何者不是評估資訊安全風險等級的面向？
(A)隱密性
(B)完整性
(C)重複性
(D)可用性

67( ).

X

67 下列何者是分析資訊安全風險的內容？
(A)識別資產的各項威脅
(B)評鑑安全措施失效或衝擊發生的實際可能性
(C)採用適切的控制措施
(D)建立整體意識及關於資訊安全之各項行動原則

68( ).

X

68 下列敘述哪些為真？(複選)
(A)不使用資訊科技，就不會有資訊風險之存在
(B)風險評估不需要隨著科技及組織變化持續改善
(C)資訊資產處於外在威脅越多的環境，則資訊資產所面臨的風險也將 隨之提高
(D)組織可接受風險等級的高低，反映組織對風險的態度

69( ).

X

69 決定資訊安全風險措施後，要產生何種文件？
(A)資訊安全政策
(B)適用性聲明書
(C)資訊安全事件應變處理程序
(D)稽核報告

70( ).

X

70 下列何者不屬於環境的威脅？
(A)地震
(B)空調失效
(C)雷擊
(D)颱風

71( ).

X

71 下列敘述何者為非？
(A)應要求所有員工、供應商及第三方使用者注意並通報在資訊系統上 任何觀察到或可疑的安全弱點
(B)應嚴密注意可能的安全攻擊或蓄意破壞安全的跡象
(C)所有員工、供應商及第三方使用者，應將所察覺到的安全弱點或疑 似資安事件，儘速通報給其管理階層或直接通報給服務提供者
(D)所有可移除式媒體、硬碟上或記憶體中的資訊應製作鏡像（mirror image）或複本，以確保不可否認性

72( ).

X

72 選課系統的重要性與選課期間有關，當選課期間結束且不再選課時，此時 的選課系統具備哪些特性？(複選)
(A)選課系統的可用性與時間有關
(B)當選課結束時，完整性會重於可用性
(C)選課系統的可用性、完整性皆與時間無關
(D)選課系統的完整性一直都是重要的

73( ).

X

73 在執行風險評鑑作業前，蒐集的資產通常都會進行適當的分類，其主要目 的為何？
(A)簡化風險評鑑的過程
(B)找出資產的負責人
(C)往後進行資產盤點較為方便
(D)找出低價值的資產

74( ).

X

74 以下哪些選項為資安可能的威脅？(複選)
(A)競爭對手的蓄意破壞
(B)駭客入侵
(C)作業系統的安全漏洞
(D)洪水

75( ).

X

75 風險評鑑時，所評估出來的風險等級與可接受風險等級的關係描述，何者 為非？
(A)評估出來的風險等級小於或等於可接受風險等級，表示目前資產所 處的風險是組織可接受的
(B)評估出來的風險等級大於可接受風險等級，表示目前各項資訊安全 控制措施是不足以保護該項資產
(C)評估出來的風險等級大於可接受風險等級，需要將此項風險列入風 險改善處理計畫中
(D)可接受風險等級的選擇，應選擇接近兩端的極值

76( ).

X

76 下列對於執行風險處理的描述，何者為非？
(A)低於可接受風險值的重要資產，表示其現有控制措施是適當的
(B)管理者對高於可接受風險值的風險，有必要事先研擬降低該風險的 處理計畫
(C)處理計畫都可以在短期內完成的，因此可以不用短期的應變措施
(D)執行降低該風險的處理計畫後，是可以適度降低業務營運中斷的風 險

77( ).

X

77 資訊資產處於外在威脅越多的環境，則下列何者正確？
(A)面臨的風險也將隨之提高
(B)資訊資產越多防護越好
(C)資訊資產是內部防護與外部環境無關
(D)資訊資產置於機房即可以安全防護

78( ).

X

78 下列敘述哪些正確？(複選)
(A)資產價值、威脅及弱點，都應與風險值成正向關係
(B)組織對於可接受風險值的選擇，應選擇接近兩端的極值
(C)假設組織對於資料銷毀程序的控制措施相當落實，所以利用「資料 銷毀時的不注意」這項弱點的竊取機率是相對低的
(D)網路銀行帳號的書面文件申請單的其中一項威脅是竊取

79( ).

X

79 鑑別、定義與評估組織資產所面對的威脅、弱點及其風險值稱為：
(A)營運衝擊分析
(B)風險評鑑
(C)營運持續分析
(D)風險分析

80( ).

X

80 下列敘述哪些正確？(複選)
(A)唯有外在的威脅剛好利用到資產本身的脆弱性，該項資產的風險才 會發生
(B)組織可接受風險等級的高低，反應組織對風險的態度
(C)在計算資產風險時，如果有過去的歷史紀錄，則可以引用其各項資 訊安全事故的損害值
(D)資產評估出來的風險等級大於可接受風險等級，表示目前各項資訊 安全控制措施是足以保護該項資產

81( ).

X

81 下列敘述何者錯誤？
(A)資產的價值越高，可能產生的風險也將相對提高
(B)無論是現有的控制措施或預計新增的控制措施，都應適當被辨識出 來，以利後續相關控制措施之文件化
(C)資產盤點後所產生資產清單之完整性，與後續資產風險評估的完整 性有著密切的關聯性
(D)將資產適當分類，可以簡化風險評鑑的過程，是因為組織資源有 限，同類風險可以歸屬同一個風險值

82( ).

X

82 下列敘述哪些錯誤？(複選)
(A)如果風險評鑑的結果，風險超過可接受之風險值，就表示該放棄該 項資產的使用，採用替代設備
(B)風險評鑑是衡量資產目前所承擔的風險
(C)資產分類及盤點前，應先進行資產風險評鑑
(D)資產盤點後所產生資產清單之完整性，與後續資產風險評估的完整 性有著密切的關聯性

83( ).

X

83 下列對於執行風險評鑑時，鑑別威脅與弱點的描述何者有誤？
(A)通常是先有威脅才會造成弱點
(B)威脅是導致風險的外在原因
(C)威脅也有可能來自於內部
(D)弱點則是該項資產內在的脆弱性

84( ).

X

84 下列對於資產弱點的描述，何者有誤？
(A)資產的弱點與該資產本身的特性有絕對的關係
(B)弱點全部的特性都是與生俱來的
(C)與生俱來的弱點未來要改善的機會可能較少
(D)有一些弱點是可以被適當改善的

85( ).

X

85 風險管理過程中有四個步驟，除了風險處理外，尚有哪三項？(複選)
(A)風險避險
(B)風險辨識
(C)風險分析
(D)風險評估

86( ).

X

86 在傳統紙張作業的時代，業務上的資訊（如報價單）：
(A)仍有資訊風險存在
(B)資訊風險是專指電腦與網路資訊
(C)依各單位的資訊管理政策決定
(D)轉成電子文件，才會有資訊風險

87( ).

X

87 依據行政院研究發展考核委員會之「風險管理手冊」的風險管理架構，建 立風險管理執行背景體系不包括下列哪一項？
(A)建立個人專長
(B)風險管理架構
(C)發展風險評量標準
(D)定義風險分析對象

88( ).

X

88 ISO 27001 所規定的營運持續管理，期望企業藉由什麼模型做不斷持續的 修正，讓組織得以因應外部環境之變化，其中包含人為與天然災害的威脅 為下列哪一項模型？
(A)BIM 模型
(B)SEM 模型
(C)PAPA 模型
(D)PDCA 模型

89( ).

X

89 資訊安全風險管理過程之第 1 個步驟為何？
(A)建立全景（Context Establishment）
(B)風險評估（Risk Evaluation）
(C)風險接受（Risk Acceptance）
(D)風險識別（Risk Identification）

90( ).

X

90 有關風險敘述，下列哪些錯誤？(複選)
(A)經過風險管理程序，降低風險的嚴重程度之後，剩下的風險值稱為 「風險缺口（Risk Gap）」
(B)要能評估重要的控制措施或活動的成效是否達到預期目標，量測是 一項很重要的工作，蒐集的資料越多越廣越完整，分析出來的結果 將越客觀與準確
(C)風險管理的終極目標就是將「風險缺口（Risk Gap）」控制在可以接 受的程度
(D)不同組織因其不同的營運性質、目標與存活力，所以風險的可接受 程度也不相同

91( ).

X

91 有關風險敘述，下列哪些正確？(複選)
(A)風險就是特定威脅來源利用潛在的弱點之可能性及其對組織造成的 衝擊
(B)風險就是特定弱點來源利用潛在的威脅之可能性及其對組織造成的 衝擊
(C)風險是特定威脅利用一項或一群資產的弱點，對組織造成傷害的潛 在可能
(D)風險是特定弱點利用一項或一群資產的威脅，對組織造成傷害的潛 在可能

92( ).

X

92 關於惡意程式，下列敘述哪一個正確？
(A)蠕蟲（worm）可以自己存在，且可以複製自己，並可在網際網路自 行傳播
(B)木馬程式（Trojan horse）可以自己存在，且可以複製自己，並可在 網際網路自行傳播
(C)病毒（virus）可以自己存在，且可以複製自己，並可在網際網路自 行傳播
(D)Rootkit 病毒是以巨集程式來撰寫，如：Taiwan No.1、梅莉莎病毒

93( ).

X

93 攻擊者從網路中截取使用者登入之驗證資訊，稍後再將截取之資訊送往其 登入的伺服器，以冒名該資訊的原始送出者進行登入。請問為下列何種攻 擊？
(A)重送攻擊（replay attack）
(B)欺騙攻擊（spoofing attack）
(C)後門攻擊（backdoor attack）
(D)中間人攻擊（man‐in‐the‐middle attack）

94( ).

X

94 比較定量（Quantitative）與定性（Qualitative）之風險分析，下列哪些正 確？(複選)
(A)定量風險分析需要較複雜的計算
(B)定性風險分析涉及許多猜想工作
(C)定量風險分析較易於自動化
(D)定性風險分析較可提供可信的成本與收益分析

95( ).

X

95 下列技術脆弱性之測試方法中，何者是最詳盡之脆弱性評鑑方法？
(A)滲透測試
(B)程式碼審查
(C)自動化脆弱性掃描工具
(D)安全性測試與評估（Security testing and evaluation, STE）

96( ).

X

96 風險處理選項的選擇不宜植基於下列何者項目？
(A)風險評鑑的結果
(B)實作該選項的預期成本
(C)該選項的預期利益
(D)個人喜好

97( ).

X

97 關於控制措施的成本效益分析，下列哪些敘述正確？(複選)
(A)決定控制措施的實作成本和預算任務間的平衡是組織管理者的責任
(B)移除多餘的或不需要的控制措施（特別是若該控制措施具高維護成 本），宜將成本因素納入考量
(C)移除多餘或不需要的控制措施一定比將其留在原處便宜
(D)管理者宜考量稀有但嚴重的風險，在該類情況中， 可能需要實作不 合成本效益的控制措施

98( ).

X

98 關於風險轉移，下列哪些敘述正確？(複選)
(A)風險轉移涉及與外部團體分享某些風險的決策
(B)風險轉移不會產生新的風險或修改既存、已識別風險
(C)風險轉移可藉由保險完成
(D)可以轉移管理風險的責任及風險衝擊的法律責任

99( ).

X

99 完整規劃及持續維持之營運持續計畫（Business Continuity Plan, BCP），可 以讓企業組織獲致下列哪些效益？(複選)
(A)先期識別風險，預作處理
(B)重大災難發生時，可有效應變，減少人員傷亡及財物損失
(C)增加客戶的信心度，提升企業組織的競爭優勢
(D)賺取保險之賠償

100( ).

X

100 社交工程威脅中，最常見的手法為何？
(A)阻絕服務（denial of service）
(B)殭屍網路（zombie network）
(C)釣魚（phishing）
(D)零時差攻擊（zero day attack）